AnonVault: Cách thức hoạt động thực sự của dịch vụ lưu trữ mã hóa ẩn danh
Năm 2025, Surfshark thống kê được 425,7 triệu tài khoản bị xâm phạm trên toàn thế giới — khoảng mười bốn tài khoản mỗi giây. IBM ước tính chi phí trung bình của một vụ vi phạm dữ liệu là 4,44 triệu đô la trên toàn cầu và 10,22 triệu đô la tại Hoa Kỳ. Đó là lần giảm so với cùng kỳ năm trước đầu tiên trong vòng 5 năm. Và vào tháng 11, Ủy ban Dịch vụ Tài chính Hạ viện đã công bố một báo cáo dài 130 trang. Báo cáo này đã nêu tên ít nhất 30 nhà sáng lập công nghệ và tiền điện tử đã bị âm thầm cắt đứt khỏi hệ thống ngân hàng Hoa Kỳ. Những người trong cuộc gọi hành động này là Chiến dịch Chokepoint 2.0.
Vì vậy, khi thuật ngữ "AnonVault" bắt đầu xuất hiện trên các diễn đàn về quyền riêng tư và các blog SEO ẩn danh, đó không phải vì sản phẩm này nổi tiếng. Mà là vì nhu cầu về nó. Người dùng muốn một nơi để lưu trữ các tập tin mà không cần yêu cầu email, số điện thoại hoặc danh thiếp. Tuy nhiên, điều kỳ lạ là, nếu nhìn kỹ, AnonVault không có trang chủ chính thức, không có báo cáo kiểm toán và không có trang giới thiệu đội ngũ. Vậy chính xác thì người ta đang mua cái gì?
Anon vault là gì và tại sao cái tên này lại xuất hiện ở khắp mọi nơi?
AnonVault không hẳn là một sản phẩm mà đúng hơn là một danh mục chỉ mang một tên gọi duy nhất. Nhãn hiệu này được gắn với nhiều tên miền nền tảng lưu trữ khác nhau. Có anonvault.com, được đăng ký vào tháng 6 năm 2021 với tính năng bảo mật WHOIS được bật. ScamAdviser gắn cờ nó là "dịch vụ tiền điện tử rủi ro cao". Có anonvault.net, với điểm tin cậy trung bình và các đánh giá trái chiều. Có anonvault.video và anonvaultpremium.com, những biến thể rải rác. Không có trang nào công bố chính sách bảo mật, biểu mẫu liên hệ, kho lưu trữ GitHub công khai hoặc báo cáo kiểm toán bảo mật. Không trang nào liệt kê công ty, quốc gia hoặc cá nhân, và không trang nào yêu cầu số điện thoại hoặc email của bạn khi đăng ký. Không có sách trắng. Không có thông báo về việc huy động vốn. CoinDesk, Decrypt, The Block và TechCrunch chưa từng đưa tin về nó.
Thực tế tồn tại một nhóm khoảng mười lăm trang web "đánh giá" na ná nhau (commandlinux, scope24, axis-intelligence, yooooga, techbeaz, hiveex, softcubics, icon-era) đăng tải những bài giải thích về AnonVault gần như giống hệt nhau. Mô hình này quen thuộc với bất kỳ ai đã từng theo dõi hoạt động của các mạng lưới tiếp thị liên kết. Bài viết của Plisio mà bạn có thể đã đọc đầu tiên, trên thực tế, là bài viết mang tính biên tập nhất về chủ đề này.
Các tính năng được quảng cáo, được lặp đi lặp lại trên nhiều nguồn khác nhau, đại khái như sau: Mã hóa AES-256 phía máy khách cho mọi tập tin. Thiết kế không tiết lộ thông tin, trong đó nền tảng không thể truy cập nội dung được lưu trữ. Đăng ký không cần email và số điện thoại. Tùy chọn định tuyến Tor. Các nút lưu trữ phân tán trên mạng toàn cầu. Thuật toán hậu lượng tử (CRYSTALS-Kyber và Dilithium). Thanh toán chỉ bằng tiền điện tử cho các gói cao cấp. Một số nguồn còn bổ sung thêm nhật ký kiểm toán blockchain bất biến về các thao tác tập tin và xác minh hai yếu tố sinh trắc học.
Xét riêng từng khía cạnh, những tuyên bố kỹ thuật đó khá mạch lạc. Cùng một nền tảng cấu thành nên Proton Drive, Internxt, MEGA và Tresorit đời cũ. Vấn đề là, trong trường hợp của AnonVault, không cái nào có thể được xác minh dựa trên mã nguồn, kiểm toán hoặc người vận hành cụ thể. Vì vậy, cách diễn đạt trung thực, và cũng là cách bài viết này sẽ sử dụng, là "anonvault" mô tả một loại sản phẩm mà mọi người tìm kiếm, chứ không phải một dịch vụ cụ thể đã được kiểm chứng. Nếu bạn không nhớ gì khác, hãy nhớ sự khác biệt này.
Nhu cầu bảo vệ quyền riêng tư: vi phạm dữ liệu, ngừng cung cấp dịch vụ ngân hàng, giám sát
Nhu cầu lưu trữ ẩn danh là một chỉ báo chậm trễ của ba vấn đề khác nhau. Thứ nhất là quy mô khổng lồ của các vụ vi phạm dữ liệu. Báo cáo năm 2025 của Surfshark đã thống kê được 23 tỷ tài khoản bị xâm phạm kể từ khi họ bắt đầu theo dõi vào năm 2004. Nghiên cứu về chi phí hàng năm của một vụ vi phạm dữ liệu do IBM thực hiện cho thấy chi phí đã giảm lần đầu tiên sau nửa thập kỷ. Tuy nhiên, khối lượng hồ sơ bị rò rỉ lại tăng lên. Vấn đề thứ hai là việc loại bỏ các nền tảng tài chính. Báo cáo của Hạ viện vào tháng 11 năm 2025 đã xác định ít nhất 30 người sáng lập công nghệ và tiền điện tử của Mỹ có tài khoản bị đóng mà không có lời giải thích. Sắc lệnh hành pháp "Đảm bảo Ngân hàng Công bằng" của Trump vào tháng 8 năm 2025 đã được ban hành sau đó. Và cả đề xuất của Cục Dự trữ Liên bang vào tháng 2 năm 2026 nhằm loại bỏ "rủi ro danh tiếng" như một yếu tố giám sát. Vấn đề thứ ba là sự bình thường hóa liên tục của áp lực giám sát cấp nhà nước. Công nghệ tăng cường quyền riêng tư, xét theo từng lĩnh vực thị trường, dự kiến sẽ tăng trưởng từ 5,52 tỷ đô la vào năm 2026 lên 14,3 tỷ đô la vào năm 2030. Theo Research and Markets, đó là tốc độ tăng trưởng kép hàng năm là 27%. Mọi người không mua nhiều phần mềm bảo mật đến vậy chỉ vì họ lo sợ thái quá. Họ mua vì họ đã bị tính phí cho các giải pháp thay thế khác.
Bên trong ngăn xếp mã hóa: AES-256, nhật ký kiểm toán blockchain, khóa.
Kiến trúc mà các dịch vụ thuộc lớp AnonVault quảng cáo có bốn thành phần chuyển động. Mỗi thành phần đáng được mô tả bằng một câu về chức năng thực tế của nó, và một câu khác về những gì có thể kiểm chứng được.
Mã hóa phía máy khách bằng AES-256, đôi khi được quảng cáo là mã hóa mạnh "chuẩn quân sự", có nghĩa là các tệp được mã hóa trên thiết bị của người dùng trước khi tải lên. Máy chủ chỉ lưu trữ văn bản mã hóa. Dữ liệu được mã hóa của bạn không bao giờ được truyền đi mà không được mã hóa. Đây là mô hình tương tự mà Proton Drive và Internxt công khai, và toán học là chính xác khi được triển khai đúng cách. Thiết kế không tiết lộ thông tin có nghĩa là nhà cung cấp không thể đọc những gì họ lưu trữ. Khóa mã hóa và khóa giải mã của bạn không bao giờ rời khỏi thiết bị. Các tệp vẫn được mã hóa ngay cả khi một nút bị lỗi hoặc dịch vụ của bên thứ ba bị xâm phạm. Phân mảnh phi tập trung chia nhỏ mỗi tệp trên nhiều nút và xây dựng lại khi được truy xuất. Đó là những gì Filecoin và Storj thực hiện. Điểm khác biệt là các mạng này công bố bằng chứng trên chuỗi, còn AnonVault thì không. Các tuyên bố hậu lượng tử xung quanh CRYSTALS-Kyber và Dilithium không phải là khoa học viễn tưởng. Viện Tiêu chuẩn và Công nghệ Quốc gia đã hoàn thiện cả hai dưới dạng FIPS 203 và FIPS 204 vào tháng 8 năm 2024. Chúng là các thuật toán có thật. Việc AnonVault có sử dụng chúng một cách chính xác hay không là một câu hỏi khác, và nếu không có mã nguồn thì không thể trả lời được.
Sự thật phũ phàng về AES-256 là bản thân nó hầu như không có ý nghĩa gì. Năm 2022, các nhà nghiên cứu tại Đại học Bristol đã công bố một lỗ hổng mật mã nghiêm trọng trong quá trình triển khai MEGA. Thuật toán mã hóa thì đúng. Nhưng giao thức xung quanh nó thì không. Nếu không có báo cáo kiểm toán được công bố bởi các công ty như Trail of Bits, Cure53 hoặc NCC Group, "AES-256" gần giống với tiếp thị hơn là một sự đảm bảo an ninh. Điều tốt nhất bạn có thể nói về một tuyên bố "không kiến thức" chưa được kiểm toán là nó có thể đúng.
Vị trí của thanh toán tiền điện tử: khép kín vòng bảo mật thông tin cá nhân.
Một dịch vụ lưu trữ không yêu cầu thông tin cá nhân hay dữ liệu cá nhân vẫn để lại hai điểm xác thực danh tính: thanh toán và địa chỉ IP. Vai trò của Plisio trong bức tranh này là ở khía cạnh thanh toán. Plisio là một cổng thanh toán tiền điện tử không lưu giữ tài sản của người bán, với API dành cho người bán và các plugin cho các nền tảng thương mại điện tử chính. Nó chấp nhận Bitcoin, Ethereum, USDT, USDC, Litecoin, Dogecoin và Tron. Người bán có thể nhận tiền điện tử mà không cần chuyển người mua qua quy trình KYC cấp độ Stripe, các tổ chức tài chính hoặc các nền tảng truyền thống yêu cầu dữ liệu khách hàng. Kết hợp điều đó với một dịch vụ chỉ đăng ký bạn bằng khóa mã hóa, thì cả giao diện tài chính và tạo tài khoản đều bảo vệ quyền riêng tư. Điểm xác thực thứ ba, địa chỉ IP, được xử lý bởi Tor hoặc VPN trả phí, lý tưởng nhất là VPN tự chấp nhận tiền điện tử.
Hình thức người dùng cụ thể mà điều này cho phép tuy nhỏ nhưng rất thực tế. Hãy hình dung một người dịch tự do ở Lisbon. Cô ấy được trả tiền bằng USDT thông qua hóa đơn được hỗ trợ bởi Plisio. Cô ấy lưu trữ hợp đồng khách hàng và hồ sơ thuế trong một kho lưu trữ được mã hóa mà cô ấy đã nạp tiền bằng chính ví đó. Không cần thẻ, không cần sao kê ngân hàng, không lo bị lộ thông tin trên Google Drive. Quy trình làm việc đó không yêu cầu AnonVault cụ thể; nó yêu cầu loại hình dịch vụ chung. Nếu nhà cung cấp cụ thể mà bạn chọn chưa được kiểm toán, mô hình bảo mật chỉ có hiệu lực khi bạn tin tưởng họ.
So sánh AnonVault với các dịch vụ lưu trữ đám mây truyền thống và các công cụ bảo mật được kiểm toán.
Đây là phần so sánh mà mọi bài viết về các dịch vụ nhái đều bỏ qua. Bên dưới, bộ tính năng mà AnonVault tuyên bố được đặt cạnh bốn dịch vụ thực tế công bố đủ thông tin để có thể đánh giá.
| Dịch vụ | Mã hóa đầu cuối | Đăng ký ẩn danh | Thanh toán bằng tiền điện tử | Kiểm toán công khai / nguồn | Gói miễn phí |
|---|---|---|---|---|---|
| Động cơ Proton | Đúng vậy, không có kiến thức | Yêu cầu email | Giới hạn | Vâng, đã được kiểm toán; ứng dụng mã nguồn mở. | 5 GB |
| SIÊU KHỦNG | Đúng | Yêu cầu email | BTC lịch sử | Một phần; Lỗi năm 2022 đã được phát hiện. | 20 GB |
| Internxt | AES-256 không tiết lộ thông tin | Yêu cầu email | Có (BTC) | Mã nguồn mở, đã được kiểm định | 1 GB |
| Filecoin / Storj | Tùy chọn phía máy khách | Chỉ ví | Mã thông báo gốc | Đúng vậy, trên chuỗi | Trả phí theo lượt sử dụng |
| AnonVault (đã được xác nhận) | AES-256 + hậu lượng tử | Không có email nào cả. | Vâng, chính | Không công khai | Tùy thuộc vào lĩnh vực |
Trong bất kỳ sự so sánh nào giữa AnonVault và các dịch vụ lưu trữ đám mây truyền thống, các tính năng quan trọng nhất của AnonVault là: không cần đăng ký email, thanh toán mặc định bằng mã hóa, phân mảnh dữ liệu phi tập trung và khả năng sẵn sàng cho kỷ nguyên hậu lượng tử. Trên lý thuyết, AnonVault vượt trội ở mọi khía cạnh. AnonVault mã hóa dữ liệu trước khi tải lên. AnonVault không lưu giữ bất kỳ thông tin nào về nội dung dữ liệu trên máy chủ. Cơ sở dữ liệu chứa bản mã không chứa bất kỳ thông tin nào mà người vận hành có thể giải mã. Liệu nó có chiến thắng trong thực tế hay không phụ thuộc vào việc liệu những tuyên bố đó có thể được xác minh bằng cách sử dụng thực tế hay không. Đối với dữ liệu có tính bảo mật cao, giải pháp an toàn hơn vẫn là sử dụng dịch vụ được kiểm toán với thẩm quyền pháp lý đã được xác định. Các nhà cung cấp dịch vụ lưu trữ đám mây truyền thống, Google Drive và Dropbox, không nằm trong bảng so sánh này. Chúng chỉ mã hóa dữ liệu khi lưu trữ. Chúng giữ các khóa mã hóa. Và chúng thu thập rất nhiều siêu dữ liệu. So sánh chúng với AnonVault là so sánh hai mô hình đe dọa khác nhau.
Ai sử dụng Anon Vault và họ bảo vệ những thao tác tệp nào.
Hình thức người dùng rất cụ thể, và mức độ quan tâm đến quyền riêng tư trực tuyến cũng khác nhau tùy thuộc vào từng người dùng. Các nhà báo bảo vệ danh sách liên lạc nguồn tin và hồ sơ vụ án bí mật nằm ngoài tầm với của trát tòa từ các nhà cung cấp dịch vụ cạnh tranh đã làm điều này từ rất lâu trước Snowden. Các nhà hoạt động và những người bất đồng chính kiến ở các khu vực pháp lý có luật cấm truy cập internet đặc biệt quan tâm đến các nội dung tải lên được định tuyến qua Tor. Những người sáng lập doanh nghiệp Mỹ bị mất tài khoản ngân hàng lưu trữ cụm từ khôi phục và tài liệu KYC bên ngoài bất kỳ dịch vụ nào được liên kết với tài khoản đã đóng. Báo cáo của Hạ viện đã nêu tên ba mươi trường hợp. Có thể còn nhiều hơn nữa. Các tổ chức phi chính phủ và các tổ chức nhỏ sử dụng công cụ kho lưu trữ ẩn danh để lưu trữ bằng chứng bên ngoài các máy chủ cục bộ dễ bị tổn thương, đặc biệt là theo quy định MiCA. Họ làm như vậy mà không ảnh hưởng đến quyền riêng tư của nhân viên. Những người sáng tạo nội dung người lớn, thường xuyên bị mất tài khoản ngân hàng và nền tảng, cần lưu trữ được mã hóa, thanh toán bằng tiền điện tử bên ngoài các tập đoàn công nghệ lớn. Những người nắm giữ tiền điện tử có giá trị tài sản ròng cao chia nhỏ các bản sao lưu cụm từ hạt giống trên nhiều kho lưu trữ được mã hóa thay vì lưu trữ chúng trên một đám mây duy nhất. Điểm chung không phải là sự hoang tưởng — mà là việc tiếp xúc với một rủi ro cụ thể đã được liệt kê.
Dấu hiệu đáng ngờ: cần thực hiện các bước xác minh trước khi tin tưởng một kho lưu trữ ẩn danh.
Các chuyên viên tuân thủ được đào tạo để hỏi, "Những dấu hiệu đáng ngờ ở đâu?" Câu hỏi tương tự cũng áp dụng cho các dịch vụ ẩn danh. Nó áp dụng cho bất kỳ giải pháp lưu trữ tập trung vào quyền riêng tư nào mà bạn không thể tự mình xác minh. AnonVault, ở dạng hiện tại, đặt ra một số vấn đề. Không có nhà điều hành duy nhất có thể xác minh được trên nhiều tên miền của nó. Không có kiểm toán bảo mật, không có mã nguồn công khai, không có trang nhóm, không có tiết lộ về thẩm quyền pháp lý và không có lớp bảo vệ nào được ghi nhận chống lại truy cập trái phép. Hệ sinh thái gồm mười lăm trang web sao chép SEO này phản ánh cấu trúc của một kênh tiếp thị liên kết hơn là một cộng đồng sản phẩm. ScamAdviser gắn cờ anonvault.com cho cả hai loại dịch vụ mã hóa và nội dung người lớn — hai nam châm thu hút phần mềm độc hại và lừa đảo. Và rủi ro tên miền sai chính tả là có thật; truy cập nhầm vào "anonvault" là cách mà các vụ lừa đảo thông tin đăng nhập xảy ra.
Bối cảnh pháp lý càng làm tăng thêm sức nặng cho vấn đề này. OFAC đã áp đặt lệnh trừng phạt Tornado Cash vào tháng 8 năm 2022. Tòa án phúc thẩm khu vực số 5 đã bác bỏ chúng vào tháng 11 năm 2024. Bộ Tài chính Hoa Kỳ chính thức dỡ bỏ chúng vào ngày 21 tháng 3 năm 2025. Phiên tòa hình sự đối với nhà phát triển Roman Storm bắt đầu vào tháng 7 năm 2025. Quy định về chuyển tiền của Liên minh châu Âu đã được áp dụng với quy tắc không yêu cầu khai báo kể từ ngày 30 tháng 12 năm 2024. Việc thực thi MiCA khác nhau tùy theo quốc gia thành viên, với Đức áp dụng quy tắc chuyển tiếp đến tháng 12 năm 2025 trong khi Ý đã hành động sớm hơn. Theo công cụ theo dõi năm 2025 của Hacken, hơn 73 khu vực pháp lý hiện đã áp dụng các quy tắc tương đương với Quy tắc Du lịch của FATF. Các dịch vụ ẩn danh không phải là bất hợp pháp, nhưng tình hình pháp lý xung quanh chúng đang thay đổi.
Dưới đây là danh sách kiểm tra xác minh thực tế.
| Kiểm tra | Những điều cần lưu ý |
|---|---|
| Kiểm toán | Một báo cáo đã được công bố bởi Trail of Bits, Cure53, NCC Group, hoặc tổ chức tương đương. |
| Nguồn | Một kho lưu trữ GitHub thực sự với các bản dựng có thể tái tạo và các bản phát hành đã được ký. |
| Thẩm quyền | Tên pháp nhân, quốc gia thành lập và kênh liên lạc. |
| Sự hồi phục | Một chính sách minh bạch, được ghi chép rõ ràng về việc "không thể khôi phục nếu bạn làm mất chìa khóa", được thiết kế như vậy. |
| Đánh giá độc lập | Được đưa tin trên các trang tin hàng đầu (CoinDesk, Decrypt, The Block), chứ không phải các mạng lưới SEO sao chép. |
Một dịch vụ không đáp ứng được ba hoặc nhiều hơn các tiêu chí này không nhất thiết là gian lận. Tuy nhiên, nó đang đòi hỏi một mức độ tin tưởng mà không ai có thể tạo dựng được thay mặt cho nó.
Tóm lại về các tính năng và giới hạn bảo mật của Anon Vault.
Anon Vault giải quyết một phần nhỏ trong bức tranh toàn cảnh về quyền riêng tư. Lưu trữ ẩn danh là một ngăn kéo hữu ích trong hệ thống phòng thủ nhiều lớp, chứ không phải là hộp khóa. Nó cung cấp cho bạn sự bảo mật và quyền kiểm soát hoàn toàn đối với một giao diện quản lý tệp duy nhất. Tuy nhiên, quyền truy cập nền tảng vẫn phụ thuộc vào mọi lớp khác phía sau nó. Hãy kết hợp nó với một dịch vụ đã được kiểm toán cho dữ liệu có tính bảo mật cao. Kết hợp nó với trình quản lý mật khẩu công bố mô hình mối đe dọa của nó. Kết hợp nó với xác thực hai yếu tố được hỗ trợ bởi phần cứng, VPN trả phí bằng tiền điện tử hoặc Tor cho lớp IP, và ví phần cứng cho bất kỳ khóa nào quan trọng. Xác minh từng nhà cung cấp. Ưu tiên mã nguồn mở. Đọc các quy định về quyền riêng tư ràng buộc bất kỳ ai nắm giữ hồ sơ giao dịch của bạn. Nếu dữ liệu của bạn có thể bị triệu tập, bán hoặc rò rỉ vào ngày mai, bạn sẽ lưu trữ nó ở đâu? Đó là câu hỏi đáng trả lời trước khi bạn tải lên bất cứ thứ gì.
